BloodHound
Что такое BloodHound?
BloodHoundОткрытый инструмент, использующий теорию графов для построения и анализа путей атаки в Active Directory и Azure AD к ценным целям, например Domain Admin.
BloodHound — это открытый инструмент анализа путей атаки, созданный Andy Robbins, Will Schroeder и Rohan Vazarkar и сопровождаемый компанией SpecterOps. Коллектор (SharpHound или AzureHound) собирает пользователей, группы, сессии, ACL и отношения доверия из Active Directory и Entra ID, после чего интерфейс BloodHound отображает их в виде графа Neo4j и подсвечивает кратчайший путь от любого скомпрометированного субъекта до ценных активов. Red team применяет его для планирования эскалации привилегий, blue team — для приоритизации хардненинга (Tier 0, чистка ACL, сокращение членства в группах). Сбор данных требует прав чтения каталога и обычно достаточно шумный, чтобы его можно было обнаружить.
● Примеры
- 01
Визуализация кратчайшего пути от пользователя helpdesk до Domain Admin через вложенные группы.
- 02
Blue team использует BloodHound, чтобы убрать неиспользуемые права DCSync у старых сервисных учёток.
● Частые вопросы
Что такое BloodHound?
Открытый инструмент, использующий теорию графов для построения и анализа путей атаки в Active Directory и Azure AD к ценным целям, например Domain Admin. Относится к категории Защита и операции в кибербезопасности.
Что означает BloodHound?
Открытый инструмент, использующий теорию графов для построения и анализа путей атаки в Active Directory и Azure AD к ценным целям, например Domain Admin.
Как работает BloodHound?
BloodHound — это открытый инструмент анализа путей атаки, созданный Andy Robbins, Will Schroeder и Rohan Vazarkar и сопровождаемый компанией SpecterOps. Коллектор (SharpHound или AzureHound) собирает пользователей, группы, сессии, ACL и отношения доверия из Active Directory и Entra ID, после чего интерфейс BloodHound отображает их в виде графа Neo4j и подсвечивает кратчайший путь от любого скомпрометированного субъекта до ценных активов. Red team применяет его для планирования эскалации привилегий, blue team — для приоритизации хардненинга (Tier 0, чистка ACL, сокращение членства в группах). Сбор данных требует прав чтения каталога и обычно достаточно шумный, чтобы его можно было обнаружить.
Как защититься от BloodHound?
Защита от BloodHound обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия BloodHound?
Распространённые альтернативные названия: BloodHound CE, BloodHound Enterprise.
● Связанные термины
- identity-access№ 013
Active Directory
Корпоративная служба каталогов Microsoft для сетей Windows, обеспечивающая централизованную аутентификацию, авторизацию и управление политиками для пользователей, компьютеров и ресурсов.
- attacks№ 583
Kerberoasting
Оффлайн-атака на пароли: запрос Kerberos-билетов служб для сервисных учёток и взлом их зашифрованной части для восстановления паролей в открытом виде.
- attacks№ 790
Pass-the-Hash
Атака с повторным использованием учётных данных: аутентификация в Windows по украденному NTLM-хешу пароля без знания самого пароля.
- vulnerabilities№ 860
Повышение привилегий
Класс уязвимостей, позволяющий злоумышленнику получить права выше предоставленных изначально, например перейти от обычного пользователя к администратору.
- defense-ops№ 606
Латеральное перемещение (Lateral Movement)
Тактика MITRE ATT&CK (TA0008), охватывающая техники, позволяющие атакующему перемещаться от одного скомпрометированного хоста к другим в среде.
- attacks№ 447
Golden Ticket
Поддельный Kerberos TGT, подписанный хешем учётной записи krbtgt и позволяющий атакующему имперсонировать любого субъекта домена.